Partager via


Sécuriser l’accès aux applications cloud, publiques et privées à l’aide des API d’accès réseau Microsoft Graph (préversion)

Microsoft Entra Internet Access et Microsoft Entra Private Access constituent la solution Microsoft Security Service Edge de Microsoft et permettent aux organisations de consolider les contrôles et de configurer des stratégies d’identité et d’accès réseau unifiées. Microsoft Entra Internet Access sécurise l’accès à Microsoft 365, SaaS et aux applications Internet publiques tout en protégeant les utilisateurs, les appareils et les données contre les menaces internet. En revanche, Microsoft Entra Private Access sécurise l’accès aux applications privées hébergées localement ou dans le cloud.

Cet article décrit les API d’accès réseau dans Microsoft Graph qui activent les services Microsoft Entra Internet Access et Microsoft Entra Private Access. Global Secure Access est le terme d’unification de ces deux services. Pour plus d’informations, consultez Qu’est-ce que l’accès sécurisé global ?

Blocs de construction des API d’accès réseau

Les API d’accès réseau fournissent une infrastructure pour configurer la façon dont vous souhaitez transférer ou filtrer le trafic et les règles associées. Le tableau suivant répertorie les entités principales qui composent les API d’accès réseau.

Entités Description
forwardingProfile Détermine la façon dont le trafic est routé ou contourné via les services d’accès sécurisé global. Un profil de transfert est lié à un type de trafic qui peut être Microsoft 365, Internet ou trafic privé. Un profil de transfert peut alors avoir plusieurs stratégies de transfert. Par exemple, le profil de transfert Microsoft 365 a des stratégies pour Exchange Online, SharePoint Online, etc.
forwardingPolicy Définit les règles de routage ou de contournement d’un type de trafic spécifique via les services Global Secure Access. Chaque stratégie est tentée pour un type de trafic qui peut être Microsoft 365, Internet ou Trafic privé. Une stratégie de transfert ne peut avoir que des règles de stratégie de transfert.
forwardingPolicyLink Représente la relation entre un profil de transfert et une stratégie de transfert, et conserve l’état actuel de la connexion.
policyRule Gère la définition de base d’un ensemble de règles de stratégie.
remoteNetwork Représente l’emplacement physique à partir duquel les utilisateurs et les appareils se connectent pour accéder aux applications cloud, publiques ou privées. Chaque réseau distant comprend des appareils et la connexion des appareils dans un réseau distant est maintenue via l’équipement local du client (CPE).
filteringProfile Les stratégies de filtrage des groupes, qui sont ensuite associées aux stratégies d’accès conditionnel dans Microsoft Entra pour tirer parti d’un ensemble complet de conditions de contexte utilisateur.
filteringPolicy Encapsule différentes stratégies configurées par les administrateurs, telles que les stratégies de filtrage réseau, la protection contre la perte de données et la protection contre les menaces.
filteringPolicLink Représente la relation entre un profil de filtrage et une stratégie de filtrage, et conserve l’état actuel de la connexion.

Intégrer au processus de service

Pour commencer à utiliser les services Global Secure Access et les API d’accès réseau de prise en charge, vous devez explicitement intégrer le service.

Opération Description
Intégrer le locataire Intégrez les services Microsoft Entra Internet Access et Private Access.
Vérifier l’état Vérifiez l’état d’intégration du locataire.

Profils et stratégies de transfert de trafic

Les API suivantes permettent à un administrateur de gérer et de configurer des profils de transfert. Il existe trois profils par défaut : Microsoft 365, Privé et Internet. Utilisez les API suivantes pour gérer les stratégies et les profils de transfert du trafic.

Exemples d’opérations Description
Répertorier les profils de transfert Répertoriez les profils de transfert configurés pour le locataire. Vous pouvez également récupérer les stratégies associées à l’aide du paramètre de $expand requête.
Update forwardingProfile Activez ou désactivez un profil de transfert ou configurez des associations telles que le réseau distant.
Répertorier les stratégies de transfert Répertorier les stratégies de transfert configurées pour le locataire. Vous pouvez également récupérer les règles de stratégie de transfert associées à l’aide du paramètre de $expand requête.
Lister les liens de stratégie de transfert Répertorier les liens de stratégie associés à un profil de transfert. Vous pouvez également récupérer les règles de stratégie de transfert associées à l’aide du paramètre de $expand requête.

Réseaux distants

Un scénario de réseau distant implique des appareils utilisateur ou des appareils sans utilisateur, comme les imprimantes, qui établissent une connectivité via l’équipement local du client (CPE), également appelé liaisons d’appareils, à un emplacement de bureau physique.

Utilisez les API suivantes pour gérer les détails d’un réseau distant que vous avez intégré au service.

Exemples d’opérations Description
Créer un réseau distant
Créer des liens d’appareil pour un réseau distant
Créer des profils de transfert pour un réseau distant
Créez des réseaux distants et les liens d’appareil et les profils de transfert associés.
Répertorier les réseaux distants
Répertorier les liens d’appareil pour un réseau distant
Répertorier les profils de transfert pour un réseau distant
Répertorier les réseaux distants et les liens d’appareil et les profils de transfert associés.

Contrôles d’accès

Les API d’accès réseau permettent de gérer trois types de paramètres de contrôle d’accès au sein de votre organisation : l’accès interlocataire, l’accès conditionnel et les options de transfert. Ces paramètres garantissent un accès réseau sécurisé et efficace pour les appareils et les utilisateurs au sein de votre locataire.

Paramètres d'accès inter-clients

Les paramètres d’accès interlocataire impliquent l’étiquetage des paquets réseau et l’application des stratégies de restrictions de locataire (TRv2) pour empêcher l’exfiltration de données. Utilisez le type de ressource crossTenantAccessSettings et ses API associées pour gérer les paramètres d’accès entre locataires.

Paramètres d’accès conditionnel

Les paramètres d’accès conditionnel dans les services d’accès sécurisé global impliquent l’activation ou la désactivation de la signalisation d’accès conditionnel pour la restauration et la connectivité de l’adresse IP source. La configuration détermine si la ressource cible reçoit l’adresse IP source d’origine du client ou l’adresse IP du service Global Secure Access.

Utilisez le type de ressource conditionalAccessSettings et ses API associées pour gérer les paramètres d’accès conditionnel.

Utilisez le type de ressource compliantNetworkNamedLocation pour vous assurer que les utilisateurs se connectent à partir d’un modèle de connectivité réseau vérifié pour leur locataire spécifique et sont conformes aux stratégies de sécurité appliquées par les administrateurs.

Options de transfert

Les options de transfert permettent aux administrateurs d’activer ou de désactiver la possibilité d’ignorer la recherche DNS à la périphérie et de transférer le trafic Microsoft 365 directement vers Front Door à l’aide de l’adresse IP de destination résolue par le client. Utilisez le type de ressource forwardingOptions et ses API associées pour gérer les options de transfert.

Journaux d’audit

La surveillance et l’audit des événements au sein de votre environnement sont essentiels au maintien de la sécurité, de la conformité et de l’efficacité opérationnelle. Les événements Global Secure Access sont enregistrés dans les journaux d’annuaire et les journaux de connexion peuvent être récupérés à l’aide des API associées.

Journaux et rapports de trafic

Vous pouvez parcourir les journaux de connexion du trafic réseau pour voir la répartition des types de trafic réseau via les services d’accès sécurisé global. Utilisez le type de ressource networkAccessTraffic et ses API associées pour afficher des journaux de trafic réseau granulaires.

Vous pouvez également récupérer les nombres résumés de trafic relatifs aux appareils, aux utilisateurs, aux transactions et aux demandes d’accès interlocataires via les services Global Secure Access. Utilisez le type de ressource rapports et ses API associées pour afficher les statistiques de trafic réseau résumées.

Journaux de trafic Microsoft 365 enrichis

Les services Global Secure Access vous permettent d’enrichir les journaux d’audit Microsoft 365 avec des informations sur le trafic réseau. Avec les journaux de trafic enrichis, vous pouvez passer en revue les données de diagnostic réseau, les données de performances et les événements de sécurité pertinents pour les applications Microsoft 365. Le trafic relatif aux trois charges de travail Microsoft 365 suivantes peut être enrichi avec des informations sur le trafic réseau : SharePoint, Microsoft Teams et Exchange Online.

Confiance Zéro

Cette fonctionnalité permet aux organisations d’aligner leurs identités sur les trois principes directeurs d’une architecture Confiance Zéro :

  • Vérifiez explicitement.
  • Utiliser le privilège minimum
  • Supposez une violation.

Pour en savoir plus sur la Confiance Zéro et d’autres façons d’aligner votre organisation sur les principes directeurs, consultez le Centre d’aide confiance zéro.